Acceso inicial: Ataque basado en el Gobierno

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Si compartes tus registros de Google Workspace con Cloud Logging, Event Threat Detection genera hallazgos para varias amenazas de Google Workspace. Debido a que los registros de Google Workspace se encuentran a nivel de la organización, Event Threat Detection solo puede analizarlos si activas Security Command Center a nivel de la organización.

Event Threat Detection enriquece los eventos de registro y escribe los hallazgos en Security Command Center. En la siguiente tabla, se describe un tipo de resultado de amenaza de Google Workspace, la entrada del framework de MITRE ATT&CK relacionada con este resultado y detalles sobre los eventos que activan este resultado. También puedes verificar los registros con filtros específicos y combinar toda la información que recopiles para responder a este hallazgo.

Este hallazgo no está disponible si activas Security Command Center a nivel del proyecto.

Descripción Acciones
Es posible que atacantes respaldados por el Gobierno hayan intentado vulnerar una cuenta de un miembro o una computadora. Los adversarios podrían intentar acceder a esta cuenta. Asegúrate de que la cuenta de usuario siga los lineamientos de seguridad de tu organización en términos de contraseñas seguras y autenticación de varios factores.

Verifica los registros mediante los siguientes filtros:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Reemplaza ORGANIZATION_ID por el ID de tu organización.

Eventos de investigación que activan este resultado:

¿Qué sigue?